防火墻效率

吞吐量：指防火墻在不丟失數據包的情況下能達到的最大的轉發數據報的速率。

時延：能夠衡量出防火墻處理數據的快慢。

丟包率：在特定負載下，指應由網絡設備傳輸，但由資源耗盡而丟棄幀的百分比。

背對背：指從空閑狀態開始，已達到傳輸介質最小合法間隔極限的傳輸速率發送相當數量的固定長度的幀，當出現第一個幀丟失時所發送的幀數。

并發連接數：指穿越防火墻的主機之間或主機與防火墻之間能同時建立的最大連接數，并發連接數的測試主要用來測試被防火墻建立和維持TCP連接的性能。

防火墻分類

1. 包過濾防火墻

是防火墻在網絡層中根據數據包中包頭信息有選擇的實施允許或阻斷。依據防火墻內實現設定的過濾規則，檢查數據流中每個數據包頭部，根據數據報的源地址、目的地址、TCP/UDP 源端口號、TCP/UDP目的端口號、以及數據包頭部的各種標志位等因素來確定是否允許數據包通過，其核心是安全策略即過濾規則的設計。

2. 應用網關技術

是建立在應用層上的協議國旅，它針對數據過濾協議，并能夠對數據包進行分析并形成相關報告。
優點是：易于記錄并控制所有的進出通信，對Inernet的訪問做到內容級的過濾，
缺點是需要為每種應用寫不同的代碼，維護比較困難，速度慢。

3. 狀態檢測防火墻

建立在傳輸層和應用層之間。目前主流防火墻。不限于包過濾防火墻，有不需要應用層網關防火墻，既提供了比包過濾防火墻更高的安全性和更靈活性的處理，也避免了應用層網關防火墻帶來的速度降低問題。

核心是實現連接的跟蹤功能。

4. 代理防火墻

作用在應用層，用來提供應用層服務的控制，在內部網絡向外部網絡申請服務時起到中間轉接作用。內部網絡只接受代理提出的服務請求，拒絕外部網絡其他節點的直接請求。

缺點是對于每一種應用服務都必須為其設計一個代理軟件模塊來進行安全控制，而每一種網絡應用服務的安全問題各不相同，分析困難。

防火墻體系結構

1. 雙重宿主主機體系結構

結構比較簡單，它連接內部網絡和外部網絡。相當于內部網絡和外部網絡的跳板，能夠提供級別比較高的控制，可以完全禁止外部網絡對內部網絡的訪問。

2. 被屏蔽主機體系結構

上面的結構沒有使用路由器，而被屏蔽主機體系結構防火墻則使用了一個路由器把內部網絡和外部網絡隔離開，這種體系結構中，主要的安全由數據報過濾提供。

并包括了堡壘主機，堡壘主機是Internet上的主機能連到的唯一的內部網絡上的系統。任何外部系統要訪問內部系統或服務都必須先連接到這臺主機。因此堡壘主機要保持更高等級的主機安全。

在屏蔽路由器上設置數據包過濾策略，讓所有的外部連接只能到達內部堡壘主機，如收發電子郵件。

3. 被屏蔽子網體系結構

被屏蔽子網體系結構將額外的安全層添加到被屏蔽主機體系結構，即通過添加周邊網絡更進一步地把內部網絡和外部網絡隔離開。

周邊網絡是一個被隔離的獨立子網，充當了內部網絡和外部網絡的緩沖區，在內部網絡與外部網絡之間形成了一個“隔離帶”。這就構成一個所謂的“非軍事區（DMZ）”，DMZ就是周邊網絡。

被屏蔽子網體系結構的最簡單的形式是兩個屏蔽路由器，每一個都連接到周邊網絡。一個位于周邊網絡與內部網絡之間，另一個位于周邊網絡與外部網絡之間。

有的屏蔽字網中還設有一個堡壘主機作為唯一可訪問點，支持終端交互或作為應用網關代理。

堡壘主機

在防火墻體系中，堡壘主機要高度暴露，是在Internet上公開的，是網絡上最容易遭受非法入侵的設備。
要點如下：

選擇合適的操作系統。需要可好性好、支持性好、可配置性好。

堡壘主機的安裝位置。應該安裝在不傳輸保密信息的網絡上，最好處于一個獨立網絡中，如DMZ。

需要提供內部網絡訪問Internet的服務，以及向internt提供服務。

保護系統日志

監測和備份。

入侵檢測系統

防火墻試圖在入侵行為發生之前阻止所有可以的通信。但是事實不可能阻止所有的入侵行為，有必要采取措施在入侵已經開始，但還沒有造成危害或在造成更大危害前，即使檢測到入侵，以便盡快阻止入侵，把危害降低到最小。

入侵檢測系統IDS正是這樣一種技術。IDS對進入網絡的分組執行深度分組檢查，當觀察到可疑分組時，向網絡管理員發出告警或執行阻斷操作（由于IDS的“誤報”率通常較高，多數情況不執行自動阻斷）

IDS能用于檢測多種網絡攻擊，包括網絡映射、端口掃描、DoS攻擊、蠕蟲和病毒、系統漏洞攻擊等。

入侵檢測方法一般可以分為：基于特征的入侵檢測和基于異常的入侵檢測兩種。

**基于特征的IDS（又稱 基于主機的入侵檢測系統）**維護一個所有已知攻擊標志性特征的數據庫。每個特征是一個與某種入侵活動相關聯的規則集，這些規則可能基于單個分組的首部字段值或數據中特定比特串。當發現有與某種攻擊特征匹配的分組或分組序列時，則認為可能檢測到某種入侵行為?；谔卣鞯腎DS只能檢測到已知攻擊，對于未知攻擊則束手無策。

**基于異常的IDS（又稱 基于網絡的入侵檢測系統）**通過觀察正常運行的網絡流量，學習正常流量的統計特性和規律，當檢測到網絡中流量的某種統計規律不符合正常情況時，則認為可能發生了入侵行為。例如，當攻擊者在對內網主機進行ping搜索時，導致ICMP ping報文突然大量增加，與正常的統計規律有明顯不同。

但區分正常流和統計異常流是一個非常困難的事情。大部分部署IDS主要是基于特征的，盡管某些IDS包括了某些基于異常特性。

總結

以上是生活随笔為你收集整理的网络安全-防火墙与入侵检测系统的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。